세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[한국정보보호학회 칼럼] 차세대 양자 대응 암호 분야 연구방향
  |  입력 : 2017-04-06 10:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
양자 대응 암호 알고리즘도 디바이스 구현상 발생하는 공격에는 취약할 수 있어
암호용 디바이스에 대한 평가 및 검증 체계 강화 필요


[보안뉴스= 하재철 한국정보보호학회 부회장] 전 세계적으로 주목을 받고 있는 ICT 시장에서도 정보보호의 역할이 점차 증대되고 있으며, 보안 트렌드를 선도하는 핵심 기술들이 속속 등장하고 있다.


한동안 사물 인터넷(IoT) 보안, 클라우드(Cloud) 보안, 빅데이터(Big Data) 보안, 모바일(Mobile) 보안, 블록체인(Block chain)과 핀테크(Fintech) 보안이 주류를 이루더니, 지난해 구글 딥마인드(DeepMind)의 바둑 프로그램 알파고(AlphaGo)의 등장 이후에는 인공지능(AI)이나 딥러닝(Deep Learning) 기술을 활용한 악성코드 분석이나 공격자 추적 보안 솔루션들이 연구되고 있다. 또한, 4차 산업혁명의 등장과 더불어 최근 주목을 받고 있는 스마트 팩토리, 자율주행 자동차 및 드론에 이르기까지 미래 선도 산업에서의 보안의 중요성이 강조되면서 향후 이 분야에서도 정보보호의 역할이 기대되고 있다.

한편, 1970년대 중반부터 시작된 현대 암호는 이제 약 40여년의 역사를 맞이하고 있다. 초기에 제안되었던 암호 알고리즘들은 안전성과 효율성을 두고 그동안 경쟁과 발전을 거듭한 결과, 현재에는 RSA나 AES와 같은 상용 혹은 표준 암호 알고리즘들을 범용으로 사용하고 있다. 그럼에도 불구하고 양자 계산(Quantum Computing) 기술이 발전하면서 이를 암호 해독 분야에서 적용했을 경우 기존의 암호 알고리즘들을 무력화 할 수 있다는 사실이 밝혀졌다. 따라서 암호학자들은 양자 암호 해독 기술이 현실화되기 전에 새로운 대체 암호 기법들을 개발하고자 연구 중에 있다.

이러한 취지에 맞게 등장한 것이 양자 계산을 이용한 해독 기술에도 견딜 수 있는 고강도의 양자 대응 암호(Post-Quantum Cryptography 혹은 Quantum-Resistant Cryptography) 기술이다. 이미 미국의 NIST(National Institute of Standards and Technology)에서는 2017년 11월 30일까지 양자 대응용 공개 키 암호 알고리즘을 공모한 상태이며, 검증 과정을 거쳐 세계적으로 표준화할 준비를 하고 있다. 따라서 조만간 양자 계산 능력으로도 깰(Break) 수 없는 초강도의 양자 대응 암호 알고리즘이 등장하리라 예상된다.

그러나 수학적 난제에 의한 안전성을 기반으로 개발되었던 기존 암호 알고리즘들이 구현상의 취약점으로 인해 해커들의 공격에 의해 손쉽게 비밀 키가 노출되는 것을 경험해 왔다. 특히, 앞으로 도래할 초연결 사회에서는 무선 통신 기능이 강화됨으로써 암호 디바이스들이 메인 시스템에서 멀리 떨어져서 운영되거나 아예 관리자로부터 이격된 상태에서 구현될 가능성이 높다.

따라서 공격자는 이러한 암호 시스템이나 디바이스를 절취한 후, 해킹이나 물리적 분석을 통해 내재된 비밀 정보를 빼내는 물리적 구현 공격(Implementation Attack)에 취약할 가능성이 높다.

구현 공격은 암호 시스템 개발자가 구현 과정에서 미처 고려하지 못했던 허점을 이용한 해킹 기술로서, 이미 많은 암호 시스템이 구동되는 동안에 노출하는 소비 전력 정보나 전자기 정보에 의해 비밀 정보가 노출될 수 있다는 것이 지적됐다. 따라서 고비용을 들여 어렵게 개발한 암호 시스템을 공격자가 구현 공격을 통해 초저가의 해킹 장비나 툴로 쉽게 무력화시킬 수 있다면 보안 생태계 자체가 크게 흔들릴 수 있다.

기존 암호 시스템에서 구현 공격에 대한 대응이 잘 되지 않는 이유는 암호 알고리즘을 설계하는 것과 실제로 제품으로 생산하는 개발자가 서로 독립적인 경우가 많다 보니 개발자가 암호 알고리즘에 대한 전문적인 지식 없이 구현에만 치중한 결과라고도 볼 수 있다. 즉, 암호 연구자들이 제시한 이론적 안전성에 너무 의존한 나머지 개발 단계에서는 시스템 성능이나 효율성만 중시한 단순 개발에 치중하기 때문이다.

따라서 암호 시스템을 하드웨어로 구현하는 개발자는 시스템의 안전도를 검증하는 차원에서 디바이스 자체가 가지는 취약점을 올바로 인식하고 암호 기술과 구현 기술에 대한 간극을 좁히도록 노력해야 할 것이다.

현재에도 컴퓨팅 능력이 급속도로 성장하고 있으며 첨단의 ICT 기술이 역으로 악의적인 용도로 사용될 가능성을 배제할 수 없는 상황에서 초강도의 양자 대응 암호가 만들어지는 시점은 매우 적절하다고 보고 있다. 따라서 다가올 정보의 초연결 사회에 사용될 차세대 양자 대응 암호 알고리즘들은 암호학자들의 이론적 견고성 연구와 더불어 물리적 구현 공격에 대한 대응력을 갖추는 방향으로 무게 중심을 조금 더 이동시킬 필요가 있다.

또한, 암호 시스템에 대한 구현 공격에 대한 강인성을 검증할 수 있는 평가 체계도 공고히 갖추는 것이 필요하다. 암호용 디바이스에 대한 현재의 평가 및 검증 기준에 대한 연구와 표준화 과정이 더 필요하며 국제적인 협력도 절실한 시점이다.
[글_ 하재철 호서대학교 정보보호학 전공 주임교수(jcha@hoseo.edu)]

필자 소개_ 호서대학교 하재철 교수는 현재 호서대학교 정보보호학 전공 주임을 맡고 있으며, 호서대학교 공학교육혁신센터장으로 활동하고 있다. 한국정보보호학회 부회장 및 한국산학기술학회 이사로 활동 중이며, 한국정보보호학회의 논문지 편집위원장을 맡고 있다. 또한, 정보보호 제품 인증 평가위원 및 정부 기관 등에서 자문위원으로 활동하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



2017년 상반기, 가장 충격적인 보안 사건·사고는 무엇이었나요?
사드 배치 보복 차원 중국 해커들의 사이버공격
국내 웹사이트 타깃 동남아 해커들의 무차별 디페이스 공격
전 세계를 휩쓴 워너크라이 랜섬웨어 사태
웹호스팅 업체 인터넷나야나 타깃으로 한 랜섬웨어 공격
페트야 랜섬웨어 사태(랜섬웨어 공격으로 위장한 러시아의 사이버전)
대선 전후 정보탈취 위한 북한의 사이버전
비트코인 등 가상화폐 열풍과 가상화폐 거래소 계정 해킹 사건
금융권 타깃으로 한 디도스 공격 협박 사건
기타(댓글로)